O novo recurso Sandbox do Windows 10 permite que você teste com segurança programas e arquivos baixados da Internet, executando-os em um contêiner seguro. É fácil de usar, mas suas configurações estão enterradas em um arquivo de configuração baseado em texto.
últimas postagens
O Windows Sandbox é fácil de usar, se você o tiver
Este recurso faz parte da atualização de maio de 2019 do Windows 10. Depois de instalar a atualização, você também precisará usar as edições Professional, Enterprise ou Education do Windows 10. Ela não está disponível no Windows 10 Home. Mas, se estiver disponível em seu sistema, você pode facilmente ativar o recurso Sandbox e iniciá-lo a partir do menu Iniciar.
O Sandbox será iniciado, fará uma cópia do seu sistema operacional Windows atual, removerá o acesso às suas pastas pessoais e fornecerá uma área de trabalho limpa do Windows com acesso à Internet. Antes da Microsoft adicionar este arquivo de configuração, você não podia personalizar o Sandbox de forma alguma. Se você não queria acesso à Internet, normalmente tinha que desativá-lo logo após o lançamento. Se você precisava acessar os arquivos em seu sistema host, era necessário copiá-los e colá-los no Sandbox. E, se você quisesse programas específicos de terceiros instalados, você tinha que instalá-los após iniciar o Sandbox.
Como o Windows Sandbox exclui sua instância inteiramente ao fechá-lo, você tinha que passar por esse processo de personalização toda vez que o inicia. Por um lado, isso torna o sistema mais seguro. Se algo der errado, feche o Sandbox e tudo será excluído. Por outro lado, se você precisa fazer alterações regularmente, ter que fazer isso em cada inicialização se torna rapidamente frustrante.
Para aliviar esse problema, a Microsoft introduziu um recurso de configuração para o Windows Sandbox. Usando arquivos XML, você pode iniciar o Windows Sandbox com parâmetros definidos. Você pode aumentar ou diminuir as restrições da sandbox. Por exemplo, você pode desabilitar a conexão com a Internet, configurar pastas compartilhadas com sua cópia do host do Windows 10 ou executar um script para instalar aplicativos. As opções são um pouco limitadas no primeiro lançamento do recurso Sandbox, mas a Microsoft provavelmente adicionará mais em futuras atualizações do Windows 10.
Como configurar o sandbox do Windows
Sua cópia em sandbox do Windows 10 pode ter acesso a uma pasta compartilhada em seu sistema operacional host.
Este guia assume que você já configurou o Sandbox para uso geral. Se você ainda não fez isso, primeiro será necessário habilitá-lo na caixa de diálogo Recursos do Windows.
Para começar, você precisa do Bloco de notas ou do seu editor de texto favorito – nós gostamos Notepad ++—E um novo arquivo em branco. Você criará um arquivo XML para configuração. Embora esteja familiarizado com o Linguagem de codificação XML é útil, não é necessário. Depois de instalar o arquivo, você o salvará com uma extensão .wsb (pense no Windows Sand Box.) Clicar duas vezes no arquivo iniciará o Sandbox com a configuração especificada.
Como explicado pela Microsoft, você tem várias opções para escolher ao configurar o Sandbox. Você pode ativar ou desativar o vGPU (GPU virtualizado), ativar ou desativar a rede, especificar uma pasta de host compartilhada, definir permissões de leitura / gravação nessa pasta ou executar um script na inicialização.
Usando este arquivo de configuração, você pode desativar a GPU virtualizada (é ativada por padrão), desligar a rede (está ativada por padrão), especificar uma pasta de host compartilhada (aplicativos em sandbox não têm acesso a nenhuma por padrão), definir como / escrever permissões nessa pasta e / ou executar um script no lançamento
Primeiro, abra o Bloco de notas ou seu editor de texto favorito e comece com um novo arquivo de texto. Adicione o seguinte texto:
Todas as opções que você adicionar devem estar entre esses dois parâmetros. Você pode adicionar apenas uma opção ou todas elas – você não precisa incluir cada uma delas. Se você não especificar uma opção, o padrão será usado.
Como desativar a GPU ou rede virtual
Como a Microsoft aponta, ter a GPU ou rede virtual habilitada aumenta os caminhos que o software malicioso pode usar para sair da sandbox. Portanto, se você estiver testando algo com o qual está particularmente preocupado, convém desativá-los.
Para desativar a GPU virtual, que é ativada por padrão, adicione o seguinte texto ao seu arquivo de configuração.
Disable
Para desabilitar o acesso à rede, que é habilitado por padrão, adicione o seguinte texto.
Disable
Como mapear uma pasta
Para mapear uma pasta, você precisará detalhar exatamente qual pasta deseja compartilhar e, em seguida, especificar se a pasta deve ser somente leitura ou não.
O mapeamento de uma pasta é semelhante a este:
C:UsersPublicDownloads true
HostFolder é onde você lista a pasta específica que deseja compartilhar. No exemplo acima, a pasta de download público encontrada em sistemas Windows está sendo compartilhada. ReadOnly define se o Sandbox pode gravar na pasta ou não. Defina-o como true para tornar a pasta somente leitura ou false para torná-la gravável.
Esteja ciente de que você está basicamente introduzindo riscos ao seu sistema ao vincular uma pasta entre o seu host e o Windows Sandbox. Fornecer acesso de gravação ao Sandbox aumenta esse risco. Se você estiver testando algo que acredita ser malicioso, não deve usar esta opção.
Como executar um script no lançamento
Finalmente, você pode executar scripts personalizados ou comandos básicos. Você pode, por exemplo, forçar o Sandbox a abrir uma pasta mapeada ao iniciar. A criação desse arquivo ficaria assim:
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount é o usuário padrão do Windows Sandbox, então você sempre fará referência a isso ao abrir pastas ou arquivos como parte de um comando.
Infelizmente, na versão próxima ao lançamento da atualização de maio de 2019 do Windows 10, a opção LogonCommand não parece estar funcionando conforme o esperado. Não fez nada, mesmo quando usamos o exemplo na documentação da Microsoft. A Microsoft provavelmente corrigirá esse bug em breve.
Como iniciar o Sandbox com suas configurações
Depois de terminar, salve o arquivo e atribua a ele uma extensão de arquivo .wsb. Por exemplo, se o seu editor de texto salvá-lo como Sandbox.txt, salve-o como Sandbox.wsb. Para iniciar o Windows Sandbox com suas configurações, clique duas vezes no arquivo .wsb. Você pode colocá-lo em sua área de trabalho ou criar um atalho para ele no menu Iniciar.
Para sua conveniência, você pode baixar este arquivo DisabledNetwork para evitar algumas etapas. O arquivo tem uma extensão txt, renomeie-o com uma extensão de arquivo .wsb e você estará pronto para iniciar o Windows Sandbox.